Bazı tehditler düşündüğünüzden yakın olabilir. Güvendiğiniz çalışanların taşıdığı güvenlik risklerinin farkında mısınız?
Her şey masum bir buluşma daveti ile başladı. Bir Tesla çalışanını eski iş arkadaşı bir şeyler içmeye davet etti. Birkaç buluşmadan sonra, eski arkadaş gerçek niyetini açıkladı: Tesla çalışanına 1 milyon dolar teklif etti. Yapılan plana göre, otomobil üreticisinin bilgisayar ağına kötü amaçlı yazılım yükleyecek ve bir siber suç şebekesinin Tesla’dan hayati verileri çalıp fidye istemesine yardım edecekti. Neyse ki çalışan doğru olan şeyi yaptı ve teklifi işverenine bildirdi. Görüştüğü kişiyi adalete teslim etmek için FBI ile birlikte çalışarak bu komploya engel oldu.
Ancak bu örnek, olayların tam tersi yönde gelişmesinin de mümkün olduğunu gösteriyor. Aslında bu saldırı girişimi bir gerçeğin altını çiziyor. Çalışanlar, bir kurumun sadece en büyük varlığı değil, aynı zamanda en büyük siber riskidir ve çoğu zaman gözden kaçırılır.
Bu konuya dikkat çeken birkaç istatistik de var. Verizon’un 2023 Veri İhlali Soruşturmaları Raporu’na göre, çalışmada incelenen yaklaşık 5.200 veri ihlalinin %19’una kurum içi çalışanlar neden oldu. Ayrıca Ponemon Enstitüsü’nün “içerideki bir çalışandan kaynaklanan maddi zararlar” yaşayan kuruluşların BT ve BT güvenlik uzmanlarından oluşan 1.000 kişi ile yaptığı anket, içeriden desteklenen güvenlik ihlallerinin, iki yıl içinde yüzde 44 arttığını ortaya koydu. 2022 İç Tehdit Maliyeti Küresel Raporu, bu olayların sayısını 6.800’den fazla olarak belirledi ve etkilenen kuruluşların iç tehditlerin düzeltilmesi için yılda 15,4 milyon dolar harcadığını ortaya koydu.
İç tehditler de dahil olmak üzere saldırı yüzeyi genişliyor
Yazılım tedarik zinciri saldırıları, iş e-postalarının ele geçirilmesi (BEC) dolandırıcılığı ve çalıntı çalışan oturum açma bilgilerini kullanan diğer dolandırıcılıklar gibi tehlikeli siber tehditler, fidye yazılımları ve genellikle gelişen bir hizmet olarak siber suç iş modeli tarafından kolaylaştırılan diğer saldırılarla birlikte, siber güvenlik konusunu şirketlerin yönetim kurulu gündemlerinin en üst sıralarına taşıdı.
Dijital dönüşümdeki hız, bulut destekli esnek çalışma düzenine geçiş ve üçüncü taraf tedarikçilere olan güvenin artmasıyla birlikte, her kuruluşun saldırı yüzeyi önemli ölçüde genişledi. Günümüzde siber güvenlik ortamı her zamankinden daha karmaşık ve bundan saldırganlar büyük ölçüde yararlanıyor, bu durumda en kritik riskleri belirlemek ve önceliklendirmek zor olabiliyor.
Tüm bunların yanı sıra dış saldırganları uzak tutmak bu mücadelenin yalnızca yarısıdır. İçeriden destekli bir olayın verdiği zarar yalnızca dışarıdan bir saldırganın verdiği zarardan daha çok olsa bile, iç tehditler genellikle “en üst sıralarda” yer almaz.
İç tehditler yanı başınızda
İç tehditler, bir şirketin ağlarına, sistemlerine veya verilerine zarar verebilecek eski veya aktif bir çalışanı veya yükleniciyi ifade ettiğinden, bir kuruluşun temelinden gelen bir tür siber güvenlik tehdididir.
İç tehditler kasıtlı ve kasıtsız olmak üzere iki ana gruba ayrılır. Kasıtsız grubu, kazara ve dikkatsiz eylemler olarak tekrar ayrılır. Araştırmalar, içeriden kişilerle ilgili olayların çoğunun kötü niyetten çok dikkatsizlik veya ihmalden kaynaklandığını gösteriyor.
Tehdit, gizli verilerin çalınması veya kötüye kullanılması, dahili sistemlere zarar verilmesi, kötü amaçlı aktörlere erişim izni verilmesi ve benzeri pek çok şekilde olabilir. Bu tür tehditler genellikle finansal, intikam, ideoloji, ihmal veya doğrudan kötü niyet gibi çeşitli nedenlerle olabilir.
Bu tehditleri tespit etmek zordur ancak önlemek daha da zor olabileceği için benzersiz güvenlik zorlukları taşır, çünkü içeridekiler dışarıdaki saldırganlardan daha fazla fırsata sahiptir. Çalışanlar ve yükleniciler işlerini yapabilmek için bir kuruluşun sistemlerine ve verilerine yasal ve geniş erişime ihtiyaç duyarlar. Bu da tehdidin saldırı gerçekleşene kadar veya zarar verilene kadar fark edilemeyebileceği anlamına gelir. Çalışanlar da genellikle işverenin güvenlik önlemlerini ve prosedürlerini bilir ve bunları daha kolay atlatabilir.
Ayrıca, güvenlik izinlerinin düzenli olarak geçmiş kontrollerinin yapılması gerekir ve çalışanların ruh halinin zamanla değişebileceği hesaba katılmaz.
Her şeye rağmen, bir kuruluşun iç tehdit riskini en aza indirmek için alabileceği bazı önlemler vardır. Bu önlemler, güvenlik kontrolleri ve güvenlik farkındalığı kültürünün birleşimine dayanır ve araçları, süreçleri ve insanları kapsar.
İç tehdit riskini azaltacak önlemler
Bu önlemler siber güvenlikle ilgili her sorunu çözmez ancak kurumları iç tehditlere karşı koruma konusunda çok yararlıdır.
- Erişim kontrolleri yapın: Rol tabanlı erişim kontrolü (RBAC) gibi erişim kontrollerinin yapılması, hassas verilere ve sistemlere erişimin yalnızca görevleri yerine getirmek için ihtiyaç duyan çalışanlarla sınırlandırılmasına yardımcı olabilir. Bir şirket, yalnızca iş ile ilgili görevler için erişim ihtiyacı olan çalışanlara izin vererek içeriden gelebilecek tehditlere maruz kalma riskini önemli ölçüde azaltabilir. Erişim seviyelerinin uygun kalması ve çalışanların görevleriyle uyumlu olması için bu erişim ayrıcalıklarının düzenli olarak gözden geçirilmesi de önemlidir.
- Çalışan faaliyetlerini izleyin: Çalışanların şirket cihazlarındaki veya ağlarındaki faaliyetlerini izlemek için izleme araçlarının kullanılması, bir iç tehdit işareti olabilecek şüpheli davranışların belirlenmesine yardımcı olabilir. İzleme aynı zamanda, alışılmadık veri aktarımlarının veya hassas sistemlere ve verilere sıra dışı erişim yöntemlerinin tespit edilmesine de yardımcı olabilir. Ancak gizlilikle ilgili olası endişeleri gidermek için yerel düzenlemelere uyduğunuzdan ve izlemeyle ilgili açık kurallar oluşturduğunuzdan emin olun.
- Geçmiş kontrolleri yapın: Hassas ve gizli verilere erişim izni vermeden önce tüm çalışanlar, yükleniciler ve tedarikçiler için geçmiş kontrollerinin yapılması olası risklerin belirlenmesine yardımcı olabilir. Bu kontroller aynı zamanda bir kişinin çalışma geçmişini ve sabıka kaydını doğrulamak için de kullanılabilir.
- Güvenlik farkındalığı eğitimi düzenleyin: Çalışanlara düzenli olarak güvenlik farkındalığı eğitimi verilmesi, siber güvenlik riskleri ve bunların nasıl azaltılacağı konusundaki bilincin artmasına yardımcı olur. Bu, kimlik avı dolandırıcılığına yakalanmak gibi kazara iç tehdit olasılığını azaltmaya yardımcı olabilir.
- Veri Kaybını Önleme: Bir DLP sisteminin uygulanması, hassas verilerin yetkisiz aktarımını veya paylaşımını izleyerek, tespit ederek ve engelleyerek veri kaybını veya hırsızlığını önlemeye yardımcı olabilir. Bu, iç tehditleri azaltmaya yardımcı olurken aynı zamanda gizli verileri de korur. Ancak buradaki uyarı, DLP sağlayıcılarının da saldırganların hedefinde olduğudur, bu da ayrı bir endişe kaynağıdır.
Unutulmamalıdır ki bu önlemlerin hiçbiri tek başına kusursuz değildir ve hiçbir çözüm iç tehditleri tamamen ortadan kaldıramaz. Ancak bu önlemlerin bir kombinasyonunu uygulayarak ve güvenlik politikalarını düzenli olarak gözden geçirip güncelleyerek işletmeler iç tehditlere maruz kalma oranlarını önemli ölçüde azaltabilir.
En iyi seçim: güvenlik farkındalığı eğitimi
Bu, birkaç nedenden ötürü açıklanan önlemler arasında en iyisidir. Öncelikle bu eğitimler, kasıtsız iç tehdit riskini azaltarak işletmelere yarar sağlayabilir.
Çoğu zaman, çalışanlar belirli siber güvenlik risklerinin farkında değildir ve farkında olmadan bir kimlik avı bağlantısına tıklayabilir, kötü amaçlı yazılım indirebilir veya gizli dahili verileri paylaşarak veri ihlallerine veya diğer olaylara yol açabilir. Çalışanlara düzenli eğitim verilerek bu tür olaylar önlenebilir, böylece bu iç tehditle ilişkili maliyetlerin yanı sıra ihlallerle ve yasal sorunlarla ilişkili itibar kaybı da azaltılabilir.
Ayrıca, güvenlik farkındalığı eğitimi vermek hem kişisel siber hijyeni hem de bir şirketin genel güvenlik durumunu iyileştirebilir. Güvenlik olaylarını tanımak ve bildirmek üzere eğitilen çalışanlar, güvenlik tehditlerini erken tespit edip etkisinin hafifletilmesine yardımcı olabilir, bunlarla ilişkili maliyetler azalacağı için verimliliğin ve üretkenliğin artmasını sağlayabilir.
Bir şirketin özel ihtiyaçlarına göre uyarlanmış önlemlerin bir kombinasyonunu uygulamak, iç tehditlerle mücadele etmek ve uzun vadede maliyet tasarrufu sağlamak için mevcut en iyi yaklaşımdır.
İLGİLİ MAKALE: İç tehdit nedir? Tanım, örnekler ve çözüm
